沒有結局的故事,MetaMask用戶遇駭損失41顆以太幣,苦思仍不知被駭原因

Jim
分享
沒有結局的故事,MetaMask用戶遇駭損失41顆以太幣,苦思仍不知被駭原因

投資者 Jonny Reid 在推特分享自己 MetaMask 錢包裡的加密資產被盜竊一空的經歷,從他復盤事件來看,他自認安全意識算高,且在從事資安朋友的協助下仍無法查出駭客是從哪些資安漏洞介入,事後他也只能進一步加強安全措施。

原文連結:https://twitter.com/TheJonnyReid/status/1528350421047189506

Jonny Reid 今年 5/18 發現 MetaMask 中的 41 顆以太幣被轉走,他強調自己雖然沒有硬體錢包,自 2016 年起皆使用 MEW、MetaMask 等錢包,但安全意識高,對於任何社群平台、釣魚連結、Discord、TG 等皆非常謹慎,至今仍不確定為何遇駭。

潛在被盜原因

1. 網頁刷新應用之一

由於 Reid 需要重新辦理護照以準備來臨的旅行,為了在英國當局官網線上辦理,他需要不斷刷新頁面以搶先申請,因此在 5/16 下載了兩個 Chrome 擴充應用來自動刷新頁面。

他不太喜歡這個擴充應用,因此刪掉後又下載另一個。

2. 網頁刷新應用之二

第二個是「Easy auto refresh」,他大約用了 14 個小時,病毒軟體也沒有檢測出任何異常,沒有奇怪的視窗彈出,一切順利。

此後直到 5/18 遇駭前,由於 Reid 忙著結婚事宜,已超過三天未使用錢包,事後他持續探索原因,包括 MetaMask 錢包是否為登入狀態?是否點了奇怪連結?

駭客操作

Reid 的 MetaMask 約有八個錢包,總額約 13 萬美元,駭客拋售了約 8.3 萬美元 (41 ETH)。

Reid 與他朋友從未聽過「FIXED FLOAT」交易所,他積極與該交易所的客服溝通,但對方卻無法提供任何細節。

事後資安分析

Reid 找來一位資安朋友來檢查他的電腦,但筆電與個人電腦皆沒有任何異常。

苦思後,Reid 更改所有密碼後發現一些蹤跡,他的 Gmail 通知出現了谷歌帳號的可疑活動,深入研究後,他發現在被駭前 Gmail 已在捷克的某個設備上被登入。

至今他仍不明白為何 Gmail 被駭 (他有設定 2FA),並發現他下載的第一個網頁刷新軟體在 5/18 遇駭當天剛好有更新,而他使用的是 2021/04/11 舊版本,但這也許只是巧合。

再升級資安

遇駭後,Reid 買了冷錢包 Ledger Nano X,一台專用於加密貨幣的筆電,並重置兩台舊電腦。

雖然無法得知確切遇駭原因,加密社群對這篇文章無論是出於憐憫或想提供幫助,仍引發許多迴響,特別是在僅確定谷歌帳號被駭的情況下,駭客就能以此控制 MetaMask 讓大家感到訝異。

Reid 也指出先前報導中的騙局,即詐騙集團會透過推特 API 監控所有貼文內容。只要文章包含 support、help 或 assistance 等尋求幫助的字眼,以及 MetaMask、Phantom、Yoroi 或 Trust Wallet 等加密錢包,貼文會在發佈幾秒內收到詐騙機器人的回覆。

Reid 表示自他發文以來就不斷在推特上被標記或私訊類似的詐騙內容,呼籲大家千萬別點擊連結。